微軟被曝高危漏洞“永恒之黑” 或危及全球10萬服務(wù)器

　　北京時(shí)間3月12日晚，微軟發(fā)布安全公告披露了一個(gè)最新的SMB遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-0796），攻擊者利用該漏洞無須權(quán)限即可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，一旦被成功利用，其危害不亞于永恒之藍(lán)，全球10萬臺(tái)服務(wù)器或成首輪攻擊目標(biāo)。

　　SMB（Server Message Block）協(xié)議作為一種局域網(wǎng)文件共享傳輸協(xié)議，常被用來作為共享文件安全傳輸研究的平臺(tái)。由于SMB 3.1.1協(xié)議中處理壓縮消息時(shí)，對(duì)其中數(shù)據(jù)沒有經(jīng)過安全檢查，直接使用會(huì)引發(fā)內(nèi)存破壞漏洞，可能被攻擊者利用遠(yuǎn)程執(zhí)行任意代碼，受黑客攻擊的目標(biāo)系統(tǒng)只要開機(jī)在線即可能被入侵。據(jù)了解，凡政府機(jī)構(gòu)、企事業(yè)單位網(wǎng)絡(luò)中采用Windows 10 1903之后的所有終端節(jié)點(diǎn)，如Windows家用版、專業(yè)版、企業(yè)版、教育版，Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均為潛在攻擊目標(biāo)，Windows 7不受影響。

　　根據(jù)騰訊安全網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)檢測(cè)系統(tǒng)提供的數(shù)據(jù)，目前全球范圍可能存在漏洞的SMB服務(wù)總量約10萬臺(tái)，直接暴露在公網(wǎng)，可能成為漏洞攻擊的首輪目標(biāo)。海外安全機(jī)構(gòu)為這個(gè)漏洞起了多個(gè)代號(hào)，如SMBGhost、EternalDarkness（“永恒之黑”），可見其危害之大。

　　騰訊安全專家介紹，SMB遠(yuǎn)程代碼執(zhí)行漏洞與“永恒之藍(lán)”系列漏洞極為相似，都是利用Windows SMB漏洞遠(yuǎn)程攻擊獲取系統(tǒng)最高權(quán)限，黑客一旦潛入，可利用針對(duì)性的漏洞攻擊工具在內(nèi)網(wǎng)擴(kuò)散，綜合風(fēng)險(xiǎn)不亞于永恒之藍(lán)，政企用戶應(yīng)高度重視、謹(jǐn)慎防護(hù)。

　　除了直接攻擊SMB服務(wù)端造成遠(yuǎn)程代碼執(zhí)行（RCE）外，“永恒之黑”漏洞的亮點(diǎn)在于對(duì)SMB客戶端的攻擊，攻擊者可以通過構(gòu)造一個(gè)“特制”的網(wǎng)頁、壓縮包、共享目錄、OFFICE文檔等，向攻擊目標(biāo)發(fā)送，一旦被攻擊者打開則瞬間觸發(fā)漏洞受到攻擊。

　　針對(duì)該漏洞，騰訊安全已在第一時(shí)間啟動(dòng)應(yīng)急響應(yīng)，并為企業(yè)用戶提供全套解決方案。在“永恒之黑”意外被海外安全廠商披露后，騰訊安全威脅情報(bào)中心基于威脅情報(bào)數(shù)據(jù)庫及智能化分析系統(tǒng)，第一時(shí)間對(duì)該漏洞的影響范圍、利用手法進(jìn)行分析，并實(shí)時(shí)進(jìn)行安全態(tài)勢(shì)感知，為企業(yè)用戶提供主動(dòng)的安全響應(yīng)服務(wù)。

　　騰訊安全專家建議政企用戶及時(shí)更新Windows完成補(bǔ)丁安裝，防范可能存在的入侵風(fēng)險(xiǎn)。同時(shí)，騰訊安全目前已啟動(dòng)應(yīng)急響應(yīng)方案，率先推出了SMB遠(yuǎn)程代碼執(zhí)行漏洞掃描工具。政企用戶只需登錄網(wǎng)址（https://pc1.gtimg.com/softmgr/files/20200796.docx）下載并填寫《獲取SMB遠(yuǎn)程代碼執(zhí)行漏洞掃描工具申請(qǐng)書》，發(fā)送至郵箱es@tencent.com獲取授權(quán)后，即可使用該工具遠(yuǎn)程檢測(cè)全網(wǎng)終端安全漏洞。

　　騰訊安全終端安全管理系統(tǒng)也已實(shí)現(xiàn)升級(jí)，企業(yè)網(wǎng)管可采用全網(wǎng)漏洞掃描修復(fù)功能，全網(wǎng)統(tǒng)一掃描、安裝KB4551762補(bǔ)丁，攔截病毒木馬等利用該漏洞的攻擊。

　　此外，騰訊安全網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)檢測(cè)系統(tǒng)、騰訊安全高級(jí)威脅檢測(cè)系統(tǒng)可全面檢測(cè)企業(yè)網(wǎng)絡(luò)資產(chǎn)是否受安全漏洞影響，幫助及時(shí)感知企業(yè)網(wǎng)絡(luò)的各種入侵滲透攻擊風(fēng)險(xiǎn)，防患于未然。

　　對(duì)于個(gè)人用戶，騰訊安全專家建議采用騰訊電腦管家的漏洞掃描修復(fù)功能安裝補(bǔ)丁，對(duì)于未安裝管家的用戶，騰訊安全還單獨(dú)提供SMB遠(yuǎn)程代碼漏洞修復(fù)工具，守護(hù)用戶安全，用戶可通過此地址（http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe）下載使用，也可嘗試運(yùn)行Windows 更新修復(fù)補(bǔ)丁，或通過手動(dòng)修改注冊(cè)表防止被黑客遠(yuǎn)程攻擊。但騰訊安全專家也提醒用戶，攻擊者如果利用漏洞構(gòu)造網(wǎng)頁、文檔、共享文件投遞，封堵445端口和修改注冊(cè)表都不能解決，只能通過安裝補(bǔ)丁來修復(fù)。針對(duì)該漏洞，騰訊安全將持續(xù)保持關(guān)注，守護(hù)廣大企業(yè)及個(gè)人用戶安全。